【目次】
-
1. はじめに
AWS WAFとAWS Shieldについて、特徴や役割などを記載してきます。どちらもAWSが提供するセキュリティ関連のマネージドサービスで、外部からの攻撃から、AWS上に構築したWebサービスなどを防御する役割を持っています。
-
2. AWS WAFとは
AWS WAFとは、AWSが提供するWeb Application Firewallです。主に、Webアプリケーションへの攻撃からWebサイトを保護するために用いられるツールです。OSI参照モデルでいうと第7層(アプリケーション層)を防御するために必要なツールです。AWS WAFは以下のような特徴があります。
- 安い
ほかのWAF製品は初期費用だけでも数百万円かかる場合がありますが、AWS WAFは初期費用がなく、ランニングコストも月20ドル程度と、非常に安いという特徴があります。
- 導入が簡単
セキュリティの知識を持っていれば、数クリックでセットアップが可能です。また、セキュリティの知識がなくても、AWS WAF向けにセキュリティ専門のベンダーが「マネージドルール」という防御用のルールを販売しています。この「マネージドルール」も非常に安価で利用することができます。
-
a) AWS WAFが守れるもの
AWS WAFを使うことによって、以下のようなセキュリティ攻撃からWebサービスを防御することができます。
- SQLインジェクション攻撃
- クロスサイトスクリプティング攻撃
- OSコマンドインジェクション攻撃
- DDoS攻撃
どの攻撃も、被害にあってしまえば、顧客情報の漏洩や、サービスの停止につながるような、大きな被害を受けてしまう可能性があります。
AWS WAFでは、「API Gateway」「Elastic Load Balancer」「CloudFront」を使用している場合のみ、攻撃から防御をすることができます。
- 安い
-
3. AWS Shieldとは
AWS Shieldとは、主にDDos攻撃からAWS上で構築したサービスで、防御を行うことができます。DDos(Distributed Denial of Service)攻撃とは、大量のサーバを使って、Webサービスに負荷をかけ、サーバやアプリケーションをダウンさせて使用できなくする攻撃です。AWS Shieldは以下のような特徴があります。
- とにかく安い
AWS Shieldは、オプション(AWS Shield Advanced)を使用しなければ、無料で使用することもできます。初期費用もランニングコストもかかりません。
- とにかく設定が簡単
こちらはAWS WAFと異なり自分で有効化する必要がありません。自動で有効になっております。したがって、利用開始にあたり何もする必要がないのです。ただし、オプションを利用する場合のみ、設定を行う必要がありますが、それも数クリックで完了します。このように非常に導入が簡単、という特徴があります。
- 優秀なオプション
月々使用するコストはかかりますが、追加オプションとしてAWS Shield Advancedを選択することができます。これは、DDosであると疑わしい通信を検知したり、AWSのセキュリティ専門部隊によるサポートを得ることができます。加えて、仮にDDos攻撃を受けてしまい、高負荷によりAWSの利用料金が増加してしまっても、DDos攻撃が原因であれば増加した分が無料になります。
-
a) AWS Shieldが守れるもの
AWS WAFも、AWS Shieldも「DDos攻撃を防御できる」と書きましたが、DDos攻撃にも様々な種類があり、AWS WAFとAWS Shieldで防御できるDDos攻撃の種類が異なります。
AWS WAFはOSI参照モデルの7層で行われるDDos攻撃を緩和できますが、AWS ShieldはOSI参照モデルの3層および4層で行われるDDos攻撃からWebサービスを防御します。
- とにかく安い
-
4. 強固なクラウドセキュリティに向けて
強固なクラウドセキュリティにむけて、AWS WAFとAWS Shieldを比較していきます。AWSのようなパブリッククラウドサービスは、インターネットを通じて利用するため、常にセキュリティ攻撃に晒されてしまうリスクが存在します。どのようなサービスを利用して、強固なセキュリティにできるかをみていきます。
-
a) どちらを使うべきか
AWS WAFとAWS Shieldは、結論からいえば、どちらも使うべきです。どちらかを利用し、どちらかを利用しない、といった設計は避けるべきです。AWS WAFとAWS Shieldはお互いに、防御できない分野のセキュリティ攻撃カバーしあうことができます。どちらかを有効化しているから大丈夫、ということではなく、両方を利用することで最良のクラウドセキュリティを実現します。
-
b) AWS WAF、AWS Shieldと組み合わせたいサービス
DDosを効果的に防御する方法としては、CloudFrontとの組み合わせがおすすめです。CloudFrontは、CDNの役割を持っており、Webサーバなどに配置されているWebコンテンツをキャッシュしてくれます。つまり、Webサーバなどを標的としたDDos攻撃が、直接Webサーバに届いてしまうことを防ぐことができます。その結果、Webサーバの負荷をあげることなく、DDos攻撃を受け流すことができます。DDos攻撃は攻撃のために大量のサーバを用意・または購入する必要があり、45分~1時間で収まるという特徴があります。そのため、AWS ShieldとCloudFrontを合わせて利用することで、DDos攻撃の被害を最小限に抑えることができるはずです。
また、AWS WAFやAWS Shieldでも防げないセキュリティ攻撃として、マルウェアの攻撃や標的型攻撃といった種類の攻撃があります。このような攻撃に対しては、サードパーティのウイルス対策ソフトをWebサーバに導入するといった対策が効果的です。
また、万が一攻撃を受けてしまった場合は、GuardDutyやAmazon Detectiveといったサービスを有効化しておくことで、検知や調査の手間が大幅に削減できる場合があります。これらの、AWSで提供されているセキュリティ対策用サービスを複数組み合わせることで、強固なセキュリティ対策を講じましょう。
-
-
5. まとめ
AWS WAF vs AWS Shieldというタイトルではありますが、それぞれ防御できる攻撃や役割が異なっています。両方とも利用することで、それぞれの機能をしあい、強固なセキュリティ対策を実施することができます。
両方とも、非常に簡単に、そして安く導入できるため、是非両方とも導入することをお勧めします。
また、AWSではセキュリティ対策用のサービスはほかにも多く、そして非常に安く提供されています。複数のサービスを組み合わせて、セキュリティ攻撃からサービスを守ることはもちろん、万が一攻撃を受けてしまった場合にも備えることができます。これらのサービスを組み合わせて、安全なWebサービスを、安く提供していきましょう。